Trojan Graftor/blokada części stron


(Bartekszukapracy) #1

Najpierw wyskoczyło że proces hj8oi0 się zawiesił i nastąpi jego wyłączenie, nie mam pojęcia co to za proces, pierwszy raz o takim słyszę; potem w menadżerze zadań jakiś dziwny proces temp12.exe był, potem co jakiś czas blokowało dostęp do różnych stron, potem odblokowywało i znowu blokowało (do dobrych programów też, tylko do wyszukiwarki google nie) potem skan Avirą znalazł "TR/Graftor.17241.8. Zrobiłem skany OTLem, oto one:

http://wklejto.pl/122541

i Extras http://wklejto.pl/122542

Pomysły na pomoc?


(Atis) #2

Odinstaluj Contextual Tool Extrafind, Softonic-Polska Toolbar, StartSearch Toolbar, Contextual Tool Extrafind, vShare.tv plugin

  1. Do okna Własne opcje skanowania / skrypt wklej:

    :OTL

    O4 - HKLM..\Run: [AmdAgent] E:\WINDOWS\temp\temp12.exe ()

    O4 - Startup: E:\Documents and Settings\Bartek\Menu Start\Programy\Autostart\K-Meleon Loader.lnk = File not found

    2012-03-24 17:12:59 | 000,075,051 | ---- | M -- E:\WINDOWS\System32\bdaaeed8.exe

    :Commands

    [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart. Pokaż raport z usuwania 2. Wklej do OTL i kliknij Skanuj:

/md5start

wuauserv.dll

/md5stop

Pokaż ten log.


(Bartekszukapracy) #3

raport z killingu http://www.wklejto.pl/122546

w trakcie usuwania cc cleanerem Contextuala Avira się obudziła i znalazła Adwore/Agent.Ezula.hhbl.1 w E\ProgramFiles\Mozilla...\41516c9b.dll

przy usuwaniu Softonica wyskakuje Could not open Install.log file, vshare normalnie usunęło (oglądam tym mecze czasem na mozilli jak na k-meleonie nie idą)

ten ostatni skan jeszcze się robi, zaraz wrzucę

oto on http://www.wklejto.pl/122547

i extras http://www.wklejto.pl/122548

generalnie od wykonania usuwania tym skryptem stronki przestały się blokować więc chyba jest OK :slight_smile:

ee cofam to, wybiórcze blokady wróciły :^o


(Atis) #4

Wklej do OTL i kliknij Wykonaj skrypt:

:Reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"Softonic-Polska Toolbar"=-

Później kliknij Sprzątanie.

Foldery tymczasowe wyczyść za pomocą TFC

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes-AntiMalware.

Podczas instalacji kliknij Odrzuć żeby zainstalować tylko darmowy skaner.

http://www.dobreprogramy.pl/Malwarebyte ... 13117.html


(Bartekszukapracy) #5

walka trwa, w momencie samego zaznaczenia "wyłącz automatyczne przywracanie" "właściwości systemu" przeszły w "brak odpowiedzi", Avira w tym momencie wykryła "TR.Dropper.Gen w E.System Volume\Information...\A001011.exe, potem się wzięła za skanowanie i wykryła TrAgent.cada.22255 też w system volume, końcówka /A0001018.DLL, potem Avira napisała że procesu NBService.exe nie można zakończyć (to nero tak?) i że go dezaktywuje, potem że uruchamia system ponownie, a jeszcze zanim go uruchomiła wyskoczył znowu TR.Gryftor


(Atis) #6

Wyłącz na chwilę Avire i wtedy wyczyść foldery przywracania System Volume Information.

Kliknij prawym na ikonie obok zegara i odznacz AntiVir Guard Enable

Później wyłącz na chwilę przywracanie systemu.

Dysk przeskanuj Dr.WEB CureIt


(Bartekszukapracy) #7

Dr Web zawiesza się przy szybkim skanowaniu na plikach system32, Malwarebytes coś znalazło (resztki vshare), Avira wyskoczyła z mnóstwem Gryftonów i Ezuli w tempach, potem dołożyła coś nowego "TR.PSW.Zbot.aev.9 w E:\Documents and Settings...\~!HD.tmp ogólnie już mnie to wszystko męczy, ale jeszcze dziś popróbuję


(Atis) #8

Temp miałeś wyczyść za pomocą TFC - Temp File Cleaner

Uruchom system w trybie awaryjnym i wtedy przeskanuj Dr.WEB CureIt

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.

Wczoraj utworzyłeś nowe konto użytkownika.

Zaloguj się na konto na którym nastąpiła infekcja i utwórz nowy log z OTL.


(Bartekszukapracy) #9

wczoraj nowe konto? konto "nowy szybki bartek" używam już długo i to chyba właśnie na nim infekcja, Malwarebytes wykryło i zniszczyło 3trojany, tutaj log http://www.wklejto.pl/122659

za Dr Weba wezmę się jutro i zobaczymy co będzie... w trybie awaryjnym też się wieśnął przy skanowaniu systemu 32

kolejny log z malware bytes http://wklej.to/o72pZ znalazł 5 obiektów

niby miało być czysto ale znowu zaczęło blokować różne strony (tym razem google.com też) więc się wkurzyłem i zrobiłem formata-działa poprawnie